A velocidade das transações com o Pix foi um dos principais motivos para ele ter caído no gosto dos brasileiros – e ter se transformado em munição nas mãos de criminosos. “Sabe por que o Pix é tão atraente para os bandidos? É a velocidade do cashout [saque]. O criminoso consegue rapidamente enviar o dinheiro para uma conta de laranjas e de lá pulveriza a grana para diversas outras contas”, diz Fabio Assolini, analista sênior de segurança da Kaspersky.

O fato de o novo sistema de pagamentos funcionar 24 horas por dia, sete dias por semana, também atraiu os bandidos. Afinal, golpes com TED e DOC não podem ser feitos fora do expediente bancário. “Aquele criminoso mais esforçado pode trabalhar 24 horas por dia, pois o Pix não esbarra no horário de funcionamento do atendimento bancário”, diz Alexandre Pinto, diretor-executivo Banking as a Service (BaaS) da CSU CardSystem.

Mas essa facilidade operacional toda começará a ganhar restrições. O Banco Central anunciou que haverá limitações de valor, de no máximo R$ 1.000, nos pagamentos com Pix, cartões de débito e TED realizados entre 20h e 6h. O objetivo é dificultar a ação de bandidos que têm conseguido fazer transferências de Pix após o furto do celular ou sequestro-relâmpago de vítimas.

Assolini diz que a limitação do valor à noite não impedirá a ação dos criminosos. “Se for caso de sequestro-relâmpago, o criminoso vai levar a vítima para o caixa eletrônico e obrigá-la a sacar dinheiro. Ou passará a agir mais durante o dia. Restringir o limite ao período do dia não resolve.”

Por isso, Pinto defende uma revisão do limite de valores inclusive para o período do dia. “Cada um tem que olhar seu limite e ver se aquele valor faz sentido. Às vezes, o limite é super alto e a pessoa nem sabe. Aí, vai descobrir da pior maneira possível.”

Para indicar as melhores condutas a serem adotadas para evitar que bandidos raspem o saldo bancário pelo meio do Pix, o 6 Minutos pediu que Pinto e Assolini fizessem suas recomendações. Veja abaixo:

Celular do ladrão

Assolini diz que há muito pouco a se fazer, do ponto de vista da vítima, para proteger seu Pix em caso de sequestro-relâmpago. “Nesses casos, o que os especialistas em segurança têm recomendado é que a pessoa tenha dois celulares. Um para ela usar em casa, com todos seus aplicativos. E outro, mais barato, para sair e fazer a vez do celular do ladrão.”

Esse segundo smartphone, segundo ele, não pode ser totalmente desprovido de aplicativos. “A pessoa pode abrir conta em um banco que movimenta pouco, deixar um saldo baixo na conta, para usar somente em caso de emergência.”

Limitação de valores também de dia

Alexandre Pinto recomenda às pessoas que utilizam mobile banking que verifiquem seus limites de movimentação. “Cada um tem que olhar seu limite e ver se aquele valor faz sentido para ela. Às vezes, o limite é super alto e a pessoa nem sabe. Aí, vai descobrir da pior maneira possível.”

Ter um limite baixinho é inconveniente? Pode ser, mas Pinto questiona o que vale mais: a conveniência ou a segurança? “Muito melhor ter um limite baixo e, quando precisar fazer uma movimentação maior, como comprar um carro, elevar o valor.”

Aplicativos de bloqueio e formatação do celular

Existem aplicativos que bloqueiam a utilização do celular ou que formatam o aparelho a partir de um determinado número de tentativas erradas de login. Assolini diz que soluções assim são uma saída para evitar o acesso às contas bancárias apenas em caso do furto de celular.

“Esses programas ajudam quando a vítima não está com o sequestrador do seu lado e não há risco de violência física. Mas se o bandido estiver do seu lado e armado, ele vai obrigar a pessoa a desbloquear o aparelho e fazer o Pix. Pior, ele pode ficar irritado se o celular ficar bloqueado ou for formatado. A tecnologia pode ajudar, mas também pode prejudicar.”

Senhas difíceis

Uma dica importante é nunca usar a mesma senha do banco em outros aplicativos, sites de compras ou serviços de internet. “Estes apps, em grande parte dos casos, não contam com sistemas de segurança robustos e a proteção adequada das informações dos usuários”, diz a Febraban (federação brasileira de bancos).

Também não se deve anotar as senhas do aplicativo bancário em blocos de notas, e-mails, mensagens de Whatsapp ou em outros locais do celular. Afinal, o bandido estará com o aparelho e poderá achar a senha anotada.

A Febraban recomenda que o usuário não ative as funções ‘lembrar/salvar senha’ do navegador ou site. “Utilize sempre o procedimento de bloqueio da tela de início do celular.”

Limites ao mobile banking

Essa sugestão que já surgiu em grupos que discutem segurança é mais polêmica, pois envolve a possibilidade de criar limites de diferentes para operações realizadas em celular das feitas em desktop. Ou seja, atinge bancos digitais e fintechs que só funcionam por aplicativos. “Colocar um limite variável pode ajudar, mas prejudica a competição bancária”, afirma Assolini.

E os bancos?

Mas são só os correntistas que devem se preocupar com o uso do Pix por criminosos? Lógico que não. A Febraban informa que já estava tratando com o BC sobre adoção de “medidas adicionais para melhorias de segurança nas transferências financeiras.”

“A Febraban lembra que os canais digitais oferecem maior conveniência e segurança nas transações financeiras. No entanto, se ainda assim o cliente entender necessário, poderá solicitar ao seu banco a redução dos limites transacionados, para se adequar às suas necessidades. As instituições financeiras irão se preparar tecnicamente nos próximos dias para a implementação das novas medidas.”

Alexandre Pinto diz que existem outras medidas que podem ser implementadas e que dizem respeito aos bancos, como validações extras em casos de:

  • Pedidos de aumento do limite para transações com Pix

“A redução de limite tem que ser feita automaticamente, mas o aumento não. Para autorizar, poderia ser adotada uma espécie de validação em dois fatores ou fazer uma pergunta ao usuário que só ele saberia responder. O problema é que hoje essas validações são feitas por e-mail ou SMS, que podem ser acessados pelos bandidos”, diz o diretor da CSU.

O BC anunciou na sexta-feira que pretende estabelecer um prazo máximo de 48 horas para a efetivação de pedido de aumento de limite feito por canais digitais.

  • Troca de senha

Aqui a lógica é a mesma. Se o usuário pedir para trocar de senha, deveria ser adotada uma camada extra de proteção. “É preciso ter um método de validação mais eficiente e que não dependa apenas do celular.”

  • Bloqueio de transações suspeitas

O mesmo rigor aplicado pelas empresas de cartão de crédito na análise e bloqueio de transações suspeitas deveria ser usado no Pix, segundo Pinto. Várias transferências seguidas, de valores elevados e que fogem do padrão de utilização do usuário podem ser um indício de suspeita.

Na sexta, o BC informou que os bancos poderão reter para análise uma operação suspeita com Pix por 30 minutos durante o dia – o prazo sobe para 60 minutos à noite.

  • Checagem da identidade na abertura das contas

“Diferentemente do saque em dinheiro, o Pix é rastreável, dá para saber qual a conta de destino. O problema é que bandido não passa recibo, essa conta costuma estar em nome de um laranja. É uma conta de passagem, o dinheiro entra em instantes de lá é direcionado para outras contas ou pagamentos”, afirma Pinto.

Por isso, ele sugere que seja feito um aperto na checagem da identidade do correntista, principalmente nos casos de contas digitais. “Se o processo de abertura de conta de laranjas fosse dificultado, o bandido não teria para onde mandar o dinheiro. A geolocalização poderia ser usada para verificar se o endereço informado é o mesmo de onde a pessoa está. Dá para fazer perguntas que somente a verdadeira pessoa saberia responder. Tudo isso aumentaria a fricção, mas não estamos falando de mandar um fax, ir pessoalmente ao banco ou autenticar documentos. São medidas que aumentam em alguns minutos o tempo de abertura de conta.”

 

Quer receber notícias do 6 Minutos direto no seu celular? Estamos no Telegram (t.me/seisminutos) e no WhatsApp (https://6minutos.uol.com.br/whatsapp).